Cty bảo mật: Giao dịch nghi trên BSC bên không ký hợp đồng mất 150KUSD

Mục lục

Một hợp đồng chưa được xác minh trên BSC bị khai thác do thiết kế thưởng giới thiệu phụ thuộc vào giá giao ngay cặp BURN/BUSD, dẫn tới thiệt hại khoảng USD 150.000.

Kẻ tấn công lợi dụng flash loan để thao túng giá BURN, tạo nhiều hợp đồng mới né giới hạn “một giới thiệu mỗi địa chỉ” và giới hạn đầu tư, tích lũy BUSD thưởng bị thổi phồng rồi chốt lời bằng cách bán và mua lại Token ở giá thấp hơn.

NỘI DUNG CHÍNH

Lỗ hổng: phần thưởng giới thiệu dựa trên giá giao ngay có thể bị thao túng.
Phương thức tấn công: thao túng giá bằng flash loan, tạo hợp đồng mới để vượt giới hạn.
Hậu quả & khuyến nghị: mất khoảng USD 150.000; cần dùng oracle an toàn và kiểm soát rủi ro.

Tổng quan vụ khai thác

Sự cố xảy ra khi cơ chế thưởng giới thiệu của hợp đồng tính thưởng BUSD dựa trên giá giao ngay BURN/BUSD, cho phép lợi dụng dao động giá ngắn hạn để thổi phồng khoản thưởng.

Xem thêm: Binance công bố ngưỡng tham gia Sentio (ST) Pre-TGE là 243 điểm

Kết quả là kẻ tấn công thu về số BUSD lớn hơn giá trị thực nhờ thao túng giá và vượt các hạn chế qua việc tạo nhiều hợp đồng mới, khiến dự án mất khoảng USD 150.000.

Cách thức tấn công chi tiết

Kẻ tấn công dùng flash loan để mua lượng lớn BURN, đẩy giá lên tạm thời, sau đó stake/lock thông qua cơ chế giới thiệu để nhận BUSD tính theo giá cao bị thao túng.

Họ lặp lại hành vi bằng cách tạo hợp đồng/địa chỉ mới để né quy tắc “một giới thiệu mỗi địa chỉ” và giới hạn đầu tư. Sau khi thu BUSD, họ bán BURN để hạ giá, rồi dùng BUSD mua lại BURN rẻ để hoàn tất vòng lợi nhuận.

Biện pháp phòng ngừa cho dự án

Không dùng giá giao ngay trực tiếp làm tham chiếu thưởng; thay vào đó áp dụng oracle đáng tin cậy, trung bình giá theo thời gian hoặc cơ chế chống thao túng.

Thêm các kiểm soát: giới hạn tổng phần thưởng, xác minh địa chỉ, đánh giá chống thao túng giao dịch (MEV/flash loan) và kiểm toán hợp đồng bởi bên thứ 3 uy tín trước khi triển khai.

Xem thêm: Ba chỉ số chứng khoán Mỹ chính tăng, HOOD tăng hơn 3,00%

Nguyên nhân lỗ hổng là gì?

Lỗi do thiết kế thưởng phụ thuộc vào giá giao ngay BURN/BUSD, dễ bị thao túng bằng giao dịch lớn hoặc flash loan trong thời gian ngắn.

Kẻ tấn công dùng kỹ thuật nào?

Họ sử dụng flash loan để thao túng giá, tạo nhiều hợp đồng/địa chỉ để né giới hạn và khai thác công thức tính thưởng.

Thiệt hại cụ thể là bao nhiêu?

Dự án bị mất khoảng USD 150.000 theo báo cáo về vụ việc.

Dự án nên làm gì ngay lập tức?

Tạm dừng hợp đồng bị ảnh hưởng, đánh giá và cập nhật cơ chế tính thưởng, tích hợp oracle chống thao túng và thực hiện kiểm toán bảo mật.

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.